A Internet das Coisas (Médicas): Perigos, Riscos e Problemas de Segurança

Propaganda

Você pode ter ouvido a frase "sua saúde é sua riqueza". É uma das razões pelas quais os EUA gastaram mais de US $ 3,2 trilhões em saúde somente em 2015.

Com tanto dinheiro circulando, é natural que muitas empresas tenham entrado no mercado de saúde, incluindo empresas de tecnologia.

A tecnologia médica às vezes parece antiquada, mas as empresas pretendem arrastar esses dispositivos para o século 21. E embora a conectividade com a Internet possa parecer um ótimo recurso, existem alguns perigos e problemas reais que podem surpreendê-lo.

O que são dispositivos médicos?

A Organização Mundial da Saúde (OMS) define um dispositivo médico como “qualquer instrumento, aparelho, implemento, máquina, aparelho, implante, reagente para uso in vitro, software, material [...] destinado pelo fabricante a ser usado [...] por seres humanos, para um ou mais [...] médicos específicos propósito".

Embora pareça bastante complicado, significa apenas qualquer dispositivo ou software que possa ser usado para fins médicos.

A US Food & Drug Administration (FDA) é responsável pela supervisão regulatória de dispositivos médicos e os divide em três categorias: Classe I, Classe II e Classe III. Os dispositivos da Classe 1 são ligeiramente regulamentados, com a maioria dos controles apenas sobre como são fabricados e comercializados. A Classe II adiciona regulamentação mais específica e a Classe III é reservada para dispositivos que suportam ou sustentam a vida humana.

No entanto, como é típico em todo o mundo, o FDA tem se esforçado para acompanhar o ritmo da inovação. Existem poucas referências sobre como os dispositivos modernos conectados à Internet devem ser regulamentados.

Que medidas os fabricantes devem adotar para garantir a segurança de tais dispositivos? Em dezembro de 2016, o FDA divulgou orientações sobre segurança de dispositivo médico, mas eles não são legalmente aplicáveis. Isso deixou os fabricantes decidirem se seguiriam o conselho ou não.

A Internet das Coisas (Médicas)

Isso coloca os dispositivos médicos conectados à Internet no mesmo barco que os da categoria mais ampla da Internet das Coisas (IoT). Existem muitos benefícios para dispositivos médicos IoT 5 maneiras pelas quais a Internet das coisas está revolucionando a área de saúdeAqui estão algumas das maneiras mais interessantes (e mais importantes) pelas quais a tecnologia conectada está revolucionando o mundo médico. consulte Mais informação , mas a falta de regulamentação aplicável significa que os fabricantes provavelmente não colocarão muitos recursos para protegê-los.

Esse é apenas um dos muitas razões pelas quais a Internet das Coisas é um pesadelo de segurança Por que a Internet das coisas é o maior pesadelo de segurançaUm dia, você chega em casa do trabalho e descobre que seu sistema de segurança residencial habilitado para nuvem foi violado. Como isso pôde acontecer? Com a Internet das Coisas (IoT), você pode descobrir da maneira mais difícil. consulte Mais informação . Além disso, literalmente colocamos nossas vidas nas mãos de dispositivos médicos IoT. Como tal, as apostas são ainda maiores do que com dispositivos IoT regulares.

A saúde é um negócio caro, não apenas para os pacientes, mas para os próprios provedores. As empresas cobram grandes somas de dinheiro por novos dispositivos e suporte técnico. Isso significa que hospitais e outros consultórios médicos são um amontoado de ferramentas - algumas novas, outras antigas, com uma variedade de requisitos operacionais diferentes. Hardware antigo, software legado e interfaces proprietárias se reúnem para tornar a proteção adequada do sistema um pesadelo para o departamento de TI do provedor.

Exemplo: escuta em uma bomba médica

A interface entre software e hardware muitas vezes expõe vulnerabilidades exploráveis, como Saurabh Harit exibido na Black Hat Europe 2017. Ele obteve uma bomba de infusão intravenosa, que injeta medicamentos no sangue de um paciente, que pode ser programada e operada remotamente.

Depois de acessar o modo de administrador da bomba com uma senha padrão encontrada online, ele foi capaz de usar o infravermelho e um PDA antigo comprado do eBay para importar suas credenciais Wi-Fi para a rede da bomba definições.

Usando o Wireshark (uma das muitas ferramentas de segurança de rede de código aberto Como testar a segurança da sua rede doméstica com ferramentas de hacking gratuitasNenhum sistema pode ser totalmente "à prova de hack", mas os testes de segurança do navegador e as proteções de rede podem tornar sua configuração mais robusta. Use essas ferramentas gratuitas para identificar "pontos fracos" em sua rede doméstica. consulte Mais informação ) para inspecionar os pacotes, Harit visualizou os dados do paciente, como dose do medicamento, cuidador, nome, localização e rota. Surpreendentemente, ele conseguiu acessar a Lista Principal de Medicamentos, que define e mantém a dosagem prescrita.

A lista de exemplos continua ...

Se tais vulnerabilidades fossem limitadas a esta bomba, seria chocante o suficiente, mas os pesquisadores regularmente descobrem novas. Uma equipe foi capaz de obter acesso a um tomógrafo, um dispositivo que fornece uma pequena dose de radiação para criar modelos 3D de dentro do seu corpo.

Em agosto de 2017, o FDA recolheu 465.000 marcapassos feito por Abbott sobre questões de hacking. Em vez de forçar quase meio milhão de pessoas a se submeter a uma cirurgia invasiva, a Abbott lançou um patch de firmware, que a equipe médica foi capaz de aplicar ao marca-passo.

Em 2014, o Departamento de Segurança Interna (DHS) começou investigando 24 dispositivos sobre suspeitas de falhas críticas. Os dispositivos incluíram uma bomba de infusão da Hospira Inc e dispositivos cardíacos implantáveis ​​da Medtronic e St Jude Medical.

Dispositivos médicos legados e baixa segurança

Se você já trabalhou em um escritório, sabe que muitas empresas dependem de software legado. Isso invariavelmente requer sistemas operacionais, drivers e periféricos mais antigos, tornando-os muito inseguros. O custo geralmente é um fator decisivo para a atualização, e muitos decidem que não podem justificar a despesa. Se não está quebrado, não conserte, certo?

As empresas muitas vezes lutam para priorizar a segurança cibernética, com uma atitude predominante de que, se um ataque ainda não aconteceu, não acontecerá. Infelizmente, os profissionais de saúde também não estão imunes a essa linha de pensamento. Em maio de 2017, um ataque de ransomware, apelidado de WannaCry O ataque global de ransomware e como proteger seus dadosUm ataque cibernético massivo atingiu computadores em todo o mundo. Você foi afetado pelo ransomware auto-replicador altamente virulento? Se não, como você pode proteger seus dados sem pagar o resgate? consulte Mais informação , infectou quase simultaneamente 300.000 computadores, muitos pertencentes ao Serviço Nacional de Saúde (NHS) do Reino Unido.

O ransomware afetou mais de 40 NHS Trusts em todo o país, reduzindo o atendimento ao paciente, fechando cirurgias e até fechando hospitais. Os efeitos do ataque colocam os pacientes em risco e também prejudicam potencialmente a segurança de seus dados. Infelizmente, a Microsoft lançou um patch um mês antes do ataque, o que teria evitado que o WannaCry se firmasse. Não apenas a atualização não foi lançada, mas também muitos computadores ainda rodavam o Windows XP.

Isto é apesar do suporte estendido para o sistema operacional de 15 anos ter terminado dois anos antes do ataque.

O futuro dos dispositivos médicos me deixa louco

A tecnologia continua a entregar avanços significativos no tratamento médico 8 descobertas de tecnologia médica de que você pode precisar um diaAcredite ou não, a velocidade dos avanços tecnológicos ainda está aumentando - e muitos avanços estão acontecendo na área médica. Confira essas novidades incríveis! consulte Mais informação , mas não é a graça salvadora do setor médico, como o NHS do Reino Unido descobriu. De acordo com o Secretário de Saúde do Governo, Jeremy Hunt, até 270 mulheres podem ter morrido depois que um “erro de algoritmo do computador” não conseguiu convidar 450.000 mulheres para o rastreamento regular do câncer de mama.

Ao contrário de muitas outras áreas afetadas pelo avanço da tecnologia, os dispositivos médicos podem ser uma questão de vida ou morte. Como a lei de Moore permite que mais dispositivos fiquem online nos próximos anos, os fabricantes devem priorizar a segurança. Afinal, não é bom projetar um "recurso matador" se essa for uma descrição devastadoramente precisa.